HandBrake infecté par le malware PROTON : comment s'en débarrasser ?
HandBrake, le fameux logiciel d’encodage vidéo, a été victime d’une attaque. La version 1.0.7 hébergée par un des serveurs miroir — download.handbrake.fr — a caché pendant quelques jours un fichier malveillant, en l’occurrence une variante d’OSX.PROTON. Le serveur infecté a été fermé par HandBrake le temps de l’enquête.
Les internautes qui ont téléchargé le logiciel depuis ce serveur entre le 2 mai (16h30) et le 6 mai (13h) ont 50% de malchance d’avoir infecté leurs Mac avec ce cheval de Troie. Pour en avoir le cœur net, rendez-vous dans l’application Moniteur d’activité de macOS pour y rechercher un processus Activity_agent. S’il est présent, vous êtes infecté ?.
Pour information, les sommes de contrôle des versions infectées de HandBrake sont les suivantes :
- SHA1: 0935a43ca90c6c419a49e4f8f1d75e68cd70b274
- SHA256: 013623e5e50449bbdf6943549d8224a122aa6c42bd3300a1bd2b743b01ae6793
HandBrake fournit la méthode pour se débarrasser de ce malware. Ouvrez une fenêtre de Terminal, puis saisissez (ou copiez/collez) les commandes suivantes :
> launchctl unload ~/Library/LaunchAgents/fr.handbrake.activity_agent.plist
> rm -rf ~/Library/RenderFiles/activity_agent.app
> if ~/Library/VideoFrameworks/
Si le dossier contient proton.zip, supprimez ce fichier, puis supprimez dans la foulée les versions de Handbrake.app qui peuvent se trouver sur le disque du Mac. Les développeurs conseillent également de modifier illico les mots de passes contenus dans le Trousseau d’accès et/ou dans les apps coffre-fort que vous pourriez utiliser.
Apple a été mis au courant hier de l’existence de cette variante de PROTON, et XProtect est en passe d’être mis à jour avec cette nouvelle définition de malware. Une première version de ce logiciel malveillant a été repérée en février, et Apple avait aussi mis à jour rapidement XProtect. En ce qui concerne HandBrake, le site web ainsi que le serveur principal ne sont pas affectés.
Ce type d’infection, qui en passe par le téléchargement d’une version « authentique » d’un logiciel connu, évoque évidemment le précédent Transmission. Ce client BitTorrent a transporté un passager clandestin, Keydnap, qui a eu le triste privilège d’être le premier rançongiciel de l’histoire de macOS (lire : OSX/Keydnap : Transmission une fois de plus infecté).
L’ironie de l’histoire, c’est que Transmission et HandBrake partagent une histoire commune : les deux logiciels ont le même créateur. Ce dernier ne fait pas partie de l’équipe actuelle de développeurs d’HandBrake, et il n’y a aucun partage de machines virtuelles entre HandBrake et Transmission.
faut les utiliser pour les voir. et je te parle de logiciels payants en plus parce que très peu de logiciel vidéo sont gratuits), mais qui utilisent des codec libre de droits.
parce que ce qu'il n'est pas payant, ne continue jamais trop longtemps.
@marenostrum
Open source ne veut pas dire gratuit!
pareil pour l'autre côté, logiciel propriétaire ne veut pas dite payant.
mais ça change rien à mon argument.
c'est comme wikipedia ou les infos sur les réseaux sociaux qu'on peut pas les qualifier de fiables à 100 %. chacun peut écrire et poster ce qu'il veut, y en a pas d'auteur confirmé qui met en jeu son HONNEUR. et ça l'oblige d'être plus responsable.
@Fumomono
Pour le reste ok, ce sont des règles élémentaires de prudence… mais le MAS est une commodité, pas une panacée. Il y a des logiciels open source sur lesquels je compte depuis des années et qui n'ont pas leur équivalent payants - ou alors, il coûte très cher. Allez sur SourceForge, vous y trouverez vraiment des perles (mais c'est comme le MAS, y a des merdes aussi, faut trier)…
Pour le coup ce n'est pas vraiment les logiciels de conversion vidéo qui manquent sur le MAS.
Je donnais une solution simple pour réduire le risque de tomber sur une copie vérolée, je n'ai jamais dit que ce n'était pas contraignant ni que c'était l'eldorado de l'application. Il existe en effet d'excellentes applications hors MAS.
@Fumomono
Et le nombre de cas d'applications légitimes vérolées sur le site de l'auteur est équivalent au nombre d'applications vérolées délivrées par l'AppStore (quelques cas à ce jour).
Je trouve ça drôle tout les gens qui m'attaquent parce qu'ils ne sont pas d'accord avec moi, le tout sans donner d'argument.
On est pas au débat présidentielle la, pas la peine de la faire comme le pen.
Lance toi dans les one man show. Toi qui ne donne jamais d'arguments autre que "apple c'est les meilleurs", c'est coçasse :)
Pour info (et comme indiqué dans l'article), si vous aviez déjà le logiciel sur vos Mac et que vous avez juste effectué une MAJ pendant ce laps de temps, pas de soucis à se faire, vous ne serez pas infecté.
C'est seulement si vous avez fait un 1er téléchargement et installation du programme depuis le site que vous avez des chances (ou malchances) d'être touché !
C'était aussi le cas pour Transmission ?
Peut-on actuellement télécharger sans risque Handbrake depuis le système de mise à jour interne du logiciel ?
Pour infos, Malwarebytes Anti-Malware for Mac contient la définition pour contrer cette saleté.
Doit-on aussi changer les mots de passe enregistrés dans 1Password ? ?
Un truc me chagrine, pourquoi modifier les MDP des coffres-forts, il a accès à ce genre de logiciel Proton ?
Si j'ai bien compris, il est possible de l'avoir téléchargé entre le 2 et le 6 mais de ne pas avoir chopé le malware, rassurez moi? ?
J'ai bien cherché Activity_agent dans le moniteur d'activité mais je suis quand même pas rassuré...
J'espère que Onyx ne l'est pas...
L'excellent logiciel Malwarebytes Anti-Malware a intégré la menace OSX.PROTON dans sa base de recherche. Raison de plus de le recommander !
Voici comment obtenir les sommes de contrôle d'un fichier téléchargé - copié collé d'un post de _Pata sur Macbidouille :
On vérifie en ligne de commande les sums par les commande suivantes en focntion de leur codage :
-- md5 ---
$ md5 /chemin/fichier.dmg
-- sha1 --
$ shasum -a 1 /chemin/fichier.dmg
-- sha256 --
$ shasum -a 256 /chemin/fichier.dmg
C'est le seul moyen de s'assurer que le fichier téléchargé est authentique et n'a pas été modifié ! Il faudrait le faire à chaque téléchargement, comparer la signature indiquée sur le site et le fichier téléchargé...
Et si la signature est modifiée en même tant que le malware est mis en place sur le serveur ?
Si le site de l'éditeur est compromis pour le téléchargement il n'y a qu'un pas pour que le site qui affiche le hash soit également compromis…
Je n'arrive pas à rentrer les commandes pfff
Mais pour la mise à jour je l'ai faite récemment mais en ouvrant Handbrake et en faisant une recherche des mises à jours .. pensez vous qu'il y ai un risque ?
Tu ne peux être infecté qu'en ayant installé le logiciel suite à un téléchargement sur le site de l'éditeur, aux dates citées.
Strictement aucun risque pour ceux qui sont passés par le "check for updates" d'Handbrake.
Ca fait au moins la 3e fois..
Juste pour souligner une info de la niouze: il s'agit d'un serveur de téléchargement "miroir". Pas le principal utilisé par Hanbrake, ni tous les serveurs.
Il est tout à fait possible d'avoir téléchargé une copie saine à cette date.
Bàv,
DotFab
Flûte. J'utilise ce logiciel... Par contre, je crois qu'il n'est pas à jour chez moi...
Pages